UNIX・Linux系ターゲットの前提条件
- 印刷する
UNIX・Linux系ターゲットの前提条件
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
UNIX・Linux系ターゲットには、以下の前提条件があります。
※ID管理が〇になっている項目は、ID管理の機能の前提条件になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ(ログインログ・ログアウトログ・suログ・ログイン失敗ログ)で出力するレポートの前提条件になります。
No | 条件 | 対象機能 | |
ID | ログ | ||
1 | SSHデーモンが起動状態である事。
| 〇 | 〇 |
2 | SSH認証方式は、プレーンテキストを用いたパスワード認証方式、または公開鍵認証方式である事。 | 〇 | 〇 |
| 3 | iDoperationサーバからターゲットへのSSH接続で公開鍵認証方式を使う場合、ターゲットにログインするユーザの秘密鍵およびターゲットのホスト鍵はRSA暗号形式が使用できる事。 | 〇 | 〇 |
| 4 | SSH認証の公開鍵認証方式用にiDoperation Web Consoleから登録する秘密鍵は、RSAの以下のフォーマットである事。 ※Ed25519等のRSA以外の秘密鍵は登録できません。 $ ssh-keygen -p -m pem -f <OpenSSH形式の秘密鍵ファイル名> | 〇 | 〇 |
| 5 | ターゲット側のSSHデーモンが使用する公開鍵ファイルのパスは「~/.ssh/authorized_keys」である事。 ※iDoperationがターゲットにSSH用の公開鍵を登録するファイルは「~/.ssh/authorized_keys」から変更できません。 | 〇 | 〇 |
| 6 | ID管理用、ログ収集用のアカウントとして、rootを利用出来る事。rootでのSSH接続が出来ない場合には、SSH接続出来るアカウントを別途用意し、suコマンドを実行してrootに切り替える事が出来る権限を付与する事。 また、Linuxターゲットでsudoコマンドを使用する場合は、sudoコマンドの実行時にパスワードの入力が求められない事。 ※suコマンドを実行してrootに切り替える事が出来るアカウントを用意する場合は、iDoperation専用のアカウントにする事を推奨します。 | 〇 | 〇 |
| 7 | rootが実行するコマンドを制限していない事。 | 〇 | 〇 |
| 8 | OSのログを収集する場合は、wtmpとsyslogに指定した内容でサーバのローカルに出力され、指定した条件でローテートされている事。 | - | 〇 |
| 9 | FTPのログを取得する場合、製品デフォルトのFTPデーモンを利用している事を確認し、FTPによるアクセスがwtmpに出力されている事。 | - | 〇 |
| 10 | ドメイン認証を行うLinuxを管理する場合、LinuxとActive Directoryがpam_krb5で認証連携している事。 | 〇 | - |
| 11 | Linux/Unix系OSの文字コードは『文字コード設定』に記載されたものを設定している事。 | 〇 | - |
OS別の取得ログファイルとsyslogの前提条件
以下の前提条件があります。
| No | OS | ログ種類 | ログファイル名(*1) | 出力先フォルダ(*1) | 出力内容 | syslog設定の前提条件 |
| 1 | Red Hat Enterprise Linux, | wtmp | wtmp | /var/log | ログイン成功・ログアウト | - |
| syslog | secure | suコマンド実行成功/失敗 | ログの出力条件「authpriv.*」は、レポートに必要であるため、設定を確認する事。 | |||
| messages | ログイン失敗 | ログの出力条件「*.info」は、レポートに必要であるため、設定を確認する事。 | ||||
| 2 | SUSE Linux | wtmp | wtmp | /var/log | ログイン成功・ログアウト | - |
| syslog | messages | suコマンド実行成功/失敗・ログイン失敗 | ログの出力条件「auth.notice;*.info」は、レポートに必要であるため、設定がされている事。 | |||
| 3 | Solaris | wtmp | wtmpx | /var/adm | ログイン成功・ログアウト | - |
| syslog | messages | suコマンド実行成功/失敗 ログイン失敗 | ログの出力条件「auth.notice;daemon.notice;audit.notice」は、レポートに必要であるため、設定を実施する事。 | |||
| 4 | AIX | wtmp | wtmp | ログイン成功・ログアウト | - | |
| syslog | secure | suコマンド実行成功/失敗 | ログ出力条件「*.notice;*.info」は、レポートに必要であるため、設定を実施する事。 | |||
| failedlogin | failedlogin | /etc/security/ | ログイン失敗 | - | ||
| 5 | HP-UX | wtmp | wtmps | /var/adm/ | ログイン成功・ログアウト | - |
| syslog | syslog.log | /var/adm/syslog | suコマンド実行成功/失敗 | ログの出力条件「*.info」は、レポートに必要であるため、設定を確認する事。 | ||
| btmps | btmps | /var/adm/ | ログイン失敗 | - | ||
| 6 | Ubuntu | wtmp | wtmp | /var/log | ログイン成功・ログアウト | - |
| syslog | auth.log | suコマンド実行成功/失敗・ログイン失敗 | ログの出力条件「auth,authpriv.*」は、レポートに必要であるため、設定がされている事。 |
(*1) ログ種類と出力内容を満たしている場合、出力先フォルダ、ログファイル名は変更可能ですが、出力先フォルダ、ログファイル名、ローテート識別子を含めたパスは80文字以内にする必要があります。
ログローテートの設定
ログローテートを設定する際は、以下の設定にしてください。
No | 条件 |
1 | 一年に二度以上、ログローテートを実施する事。半年に一回以上実施する事。 |
2 | ログローテートしたファイルを最低1世代格納する事。 |
3 | ログローテートしたファイルは、同一のフォルダに格納する事。 |
4 | ログローテートした第1世代のファイルは、圧縮しない事。 |
FTPの出力設定
FTPのアクセスを出力するためには、以下のデーモンでFTPサーバが動作している必要があります。
No | OS | FTPデーモン | その他条件 |
1 | Red Hat Enterprise Linux, | vsftpd | vsftpdの設定でログイン・ログアウトをwtmpに出力している事。 |
2 | AIX | ftpd | - |
3 | Solaris | ftpd | - |
4 | HP-UX | inetd(ftpd) | - |
5 | Ubuntu | vsftpd | vsftpdの設定でログイン・ログアウトをwtmpに出力している事。 |
文字コード設定
OSのシステム環境変数LANGは、以下の文字コードに設定してください。
環境変数LANGが設定されていない場合や、これら以外の文字コードが設定されている場合は、そのOSの代表的な文字コードとなります。詳しくは備考を参照してください。
No | OS | 文字コード | 備考 | ||
UTF-8 | EUC-JP | SJIS | |||
1 | Linux | ja_JP.UTF-8 | ja_JP | ja_JP.SJIS | 左記が設定されていない場合、環境変数LANGにUTF-8の文字コードが設定されていると判断する |
2 | AIX | JA_JP | ja_JP | Ja_JP | 左記が設定されていない場合、環境変数LANGにSJIS-winの文字コードが設定されていると判断する |
3 | Solaris | ja_JP.UTF-8 | ja | ja_JP.PCK | 左記が設定されていない場合、環境変数LANGにEUC-JPの文字コードが設定されていると判断する |
4 | HP-UX | - | - | - | OS側の設定有無に関わらず、環境変数LANGにSJIS-winの文字コードが設定されていると判断する |
※設定がされていない場合は、アカウント追加/変更で以下のいずれかの事象が発生する可能性があります。
- アカウント追加/変更に失敗する
- アカウント追加/変更に成功するが、マルチバイト文字が文字化け、または空文字になる。